Что за байда!
Китайский антивирус «Baidu» распространяется вирусными методами malware/adware, устанавливается вне зависимости от работы других антивирусов, в результате конфликт антивирусов порождает чрезмерное замедление работы ОС Windows.
Удаление ПО Baidu затруднено из-за того, что штатные программы удаления существуют только для двух компонент, драйверы уровня ядра ими не удаляются, более того, при следующей загрузке компьютера это ПО устанавливается повторно. В то же время удалить драйверы байды сложно из-за того, что они блокируют запись в «свои» ветки реестра и блокируют доступ к своим файлам.
Я написал простую инструкцию по полному удалению вредной Байды из Windows 7 и 8 без использования загрузочного носителя, она предназначена для использования техниками по обслуживанию компьютеров («эникейщиками») и подходит любому более-менее опытному пользователю.
Инструкция особенно актуальна для 64-битных версий Windows, поскольку в них не работает AVZ (точнее, нет 64-битного драйвера AVZ Guard).
Инструкция
Для начала картинка «кнопки», которую нужно нажимать в программах удаления:
В программах-деинсталляторах кнопка обычно расположена слева и по умолчанию не выбрана.
Последовательность действий.
В системной оснастке удаления программ («Панель удаления»-«Программы и компоненты») в самом низу есть два пункта с надписями иероглифами. Синяя иконка — “Защита браузера”, зелёная — “Антивирус”.
Помечаем строку с зелёной иконкой и кликаем “Удалить/изменить”. Появляется окно с иероглифами, в нём нажимаем левую кнопку, ждём завершения, нажимаем подтверждение.
Помечаем строку с синей иконкой и кликаем “Удалить/изменить”. Появляется окно, в нём выбираем правую клетку с иконкой мусорной корзины, внизу нажимаем левую кнопку, ждём завершения, нажимаем левую кнопку.
Перезагружаем компьютер в «безопасный режим».
В безопасном режиме:
- программой autoruns из комплекта “Sysinternals Suite” удаляем все упоминания baidu, в том числе: BBenhance, bd0001-bd0004, baiduhips и пр., причём служба bd0004 не удаляется — выводится сообщение об ошибке “Служба не установлена”, поэтому редактором реестра или программой reg удаляем ветку реестра этой службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0004 ; - проводником, FAR или Total commander удаляем все файлы, в описании или цифровой подписи которых есть слово Baidu.
Список файлов Байды.
В каталоге "%WINDIR%\System32\drivers" (обычно C:\Windows\System32\drivers):
BBEnhance.sys
bbrowserboost.sys
bbrowserhlp.dll
bd0001.sys
bd0002.sys
bd0003.sys
bd0004.sys
BDDefense.sys
BDMNetMon.sys
BDMWrench_x64.sys
bduniptk.sys
Полностью каталоги:
%ProgramFiles(x86)%\Common Files\Baidu
%ProgramFiles(x86)%\Baidu
Скриншоты свойств файлов «байды»:
Помимо собственно Baidu одновременно с ним нередко устанавливается также ПО «Kingsoft Internet Security». Его тоже невозможно полностью удалить штатной программой удаления, приходится вручную удалять драйвер “Kingsoft Internet Security K Plus Driver” (файл %WINDIR%\system32\drivers\ksapi64.sys) и файл "%WINDIR%\system32\drivers\kisknl_del.sys".
ninch
Столкнувшись с этими деинсталляторами, я впервые по делу воспользовался фотопереводчиком на телефоне.
m0hn
Вы не дошли до уровня «Бог», когда удаляешь китайское ПО без использования переводчика и знаний китайского.
Klaster
Уровень «Бог», это когда продавец запчастей совершенно спокойно и безошибочно работает в каталоге запчастей на японском языке :) с таким покерфейсом. Там кнопок немного больше.
Sadler
Видимо, я дошёл. Удалял некий Tencent QQ, нашёл кнопку удаления по картинке с плачущей мордой.
k3NGuru
Было дело недавно.
Там гады зеленым отметили кнопку Отмена, а обычная серая Далее.
Ну ниче, я со второго раза удалил его ^_^
LexB
Амиго отомстит китайцам
Ubuntovod
LexB
Или старая версия.
CheGevara
А какой-нибудь RevoUninstaller не подчищает «мусор» после удаления данного антивира?
Удалял им, после нечего не ставилось обратно и тп
Botkin
У мамы вместе с байду поставился iobit uninstaller. Решил его попробовать и в принципе остался доволен. Теперь иногда пользую
newcommer
Вот мы и нашли человека, благодаря которому такие способы установки ПО продолжают жить и развиваться.
Botkin
Под «вместе с байду» имел ввиду «в тот же день». Поставили они его, кажется, сами
newcommer
Прощён :D
Ubuntovod
Байда качается обычно с файлопомоек наподобие download.com, но скачал говносборку — сам себе злобный Буратино. Интересно, есть ли хоть одна русскоязычная софтина, взятая с официального сайта, с таким довеском?
grumbler66rus Автор
Я не помню, с какой именно файломойки его скачали, потому и не написал.
NeoTheFox
Смотрел на ваш ник, и на ваше сообщение. Очень испугался.
Ubuntovod
Не всегда звучащий ник означает сектанта. Надо знать предмет во всех областях.
nickolaym
Мы же все тыжпрограммисты, нас же не спрашивают — «ах, линуксооооид...», а просто дают ноутбук со словами: «помогите-спасите! (а то укушу)!»
ComodoHacker
Mail.ru Агент же!
shifttstas
Почему антивирусы сами его не удаляют? Где же наш отечественный касперыч?
grumbler66rus Автор
IMHO потому что это не вредоносный код, это всего лишь ПО с кривым деинсталлятором.
«Касперыч» также не блокирует Guard mail.ru и подобные.
shifttstas
Если покопаться со снифером, уверен на 100% что есть шпион в комплекте.
А с Мэйлру ситуация иная, им запрещено его блокировать и/или платят бабло.
akoK
Байда это легальное ПО. Кстати, использование UVS позволяет намного упростить процесс очистки если настроить критерии поиска
Antelle
Пора уже написать антивирус, который будет блокировать эти амиги, мэйлру-гуарды, гуглотулбары, аскми и прочий подобный малварь.
crackedmind
Дак есть же уже давно. Malwarebytes Anti-Malware. Как раз недавно амигу им вычищал.
QuickStudio
гуглотулбара уже нет, вроде бы
Antelle
Есть, бывает иногда в нагрузку с софтом разным, хотя именно его я давно уже не видел.
sempol
Интересно было бы увидеть тест этого антивиря. Все-таки Baidu для Китая то же самое, что Яндекс для нас и Гугл — для Запада, так что вдруг у них получилось что-то получше, чем упоминавшийся вчера Cezurity.
grumbler66rus Автор
Так протестируйте, на virustotal.com есть Baidu
art9
У меня есть небольшой опыт по удалению творений Байду. Я отключал его с помощью утилиты AntiSMS. Она отключает из автозапуска все что имеет подпись Байду, включая драйвера и прочее.
Alexeyslav
А есть софтина которая бы по списку файлов вытянула из них подписи?
ComodoHacker
filever вроде может.
nickolaym
Я убивал этот антивирус следующим образом.
1. Нашёл проводником в Program Files его файлы
2. На всю его папку (но не рекурсивно!) поставил права доступа: «всем» — «ничего». Рекурсивно не получится, потому что антивирус запрещает изменять права доступа своим файлам, бережёт себя. А папку уберечь не может.
3. Перезагрузился.
Система не позволила сама себе прочитать экзешники антивируса для старта его служб.
4. Восстановил права доступа на папку и удалил её к чертям.
5. Запустил CCleaner и почистил реестр — убрать записи о службах, автозагрузке и деинсталляции.
Таким же способом удалось ликвидировать экземпляр Guard.MailRu — какая-то его версия, отличавшаяся повышенной паранойей и одновременно со сломанным деинсталлятором, тоже себя берегла.
Alexeyslav
Зря ты удалил папку. Надо было установить на неё запрет на запись после очистки содержимого, после этого даже последующие попытки установить сразу же заканчиваются обломом.
То же самое можно проделать с правами доступа к веткам реестра…
Нежелательный софт просто на этапе установки сразу же получает облом.
nickolaym
Семён Семёныч!
В следующий раз учту и не стану размораживать папку.
Точнее, разморожу, удалю потроха и снова заморожу.
Diaver
— Сжечь ведьму!
— Но она же красивая!?
— … ладно, но потом сжечь.
grumbler66rus Автор
Пробовал?
В моей практике это помогает далеко не во всех случаях.
Alexeyslav
Многократно. Главное права забирать у всех даже System, а не только у того пользователя под которым работаешь. И не забыть оставить право изменять права для администратора, иначе навсегда папка останется мертвой, её даже не удалить.
grumbler66rus Автор
Правила «deny» имеют приоритет перед разрешающими правилами.
Я ставил всем Deny Full на каталоги. После перезагрузки права доступа возвращались к чистым наследованным.
Подсказка: замену владельца запретить невозможно, именно через замену владельца при необходимости можно удалить мусор, оставляемый каким-то обновлениями Microsoft (там каталоги с владельцем «Localsystem» и правами Localsystem F)
Alexeyslav
Странная система безопасности. Вы ей говорите «запретить» а она «ты чего это, я лучше знаю что это надо разрешать».
Даже чтобы сменить владельца нужны права на смену владельца, а эти права точно так же запрещаются для всех…
То что у вас права доступа возвращаются, это ненормально. Надо искать в системе троянца или руткит. Я бы в таком случае заподозрил именно это.
Ubuntovod
В таком случае, не намного ли проще создать запись в gpedit.msc с блокировкой выполнения по маске имени. Всегда делаю запрет выполнения на *mail* — полет пока нормальный, инсталлятор тоже блокируется.
Alexeyslav
Не всегда. Могут выйти накладочки и долго будешь думать почему что-то не работает, а окажется что в имя этого чего-то совпадает с маской которая блокируется. Троянцы, к примеру будут маскироваться под популярные приложения, на которые можно будет задать только конкретную маску с точностью до символа, а это путь в никуда вплоть до введения белых списков что есть еще большее неудобство.
grumbler66rus Автор
Я пробовал и такой метод, в 64-битной Windows 7 запрет доступа не помогает.
Судя по фразе «Нашёл проводником в Program Files его файлы» в 32-битной Windows (XP?) это срабатывает.
Alexeyslav
Не помогает в каких случаях? Ибо если запрет не работает, то что это за система безопасности? Может чего не так делал…
nickolaym
В 64-битной. Главное, отбирать права абсолютно у всех. После чего папка становится АБСОЛЮТНО невменяемой, так, что даже с администратором надо попрыгать, чтобы всучить ей права обратно.
grumbler66rus Автор
В 64-битной Windows Байда записывает себя в «Program Files (x86)»
Поясните про «отбирать права абсолютно у всех» — выполняет ли требуемое команда «cacls /D Все» (эквивалент назначению запрета всем в графической оснастке)? Я так делал, не помогает.
Полагаю, что под словами «надо попрыгать» подразумевается «сменить владельца на пользователя или группу администраторов, затем назначить нужные права». IMHO это тривиально.
Добавлю: я просто запрещал доступ всем, я не менял владельца. Возможно, что смена владельца могла помочь.
nickolaym
1. Я описал общий метод, для любой мыловари — хоть она в (x86), хоть вообще в AppData себя засунет. Когда лечил байду, не особо запоминал, в какую именно ветку програм-файлз она легла.
2. Про команду cacls что-то даже и не догадался. Сходу не могу сказать, насколько корректно и тотально она работает. Хватает ли ей запускаться из-под админа, чтобы перебить всех.
3. В проводнике же это делается наглядно и гарантированно. Контекстное меню — свойства — безопасность — изменить, и всем пользователям и всем группам поустанавливать deny нерекурсивно (каждой группе пришлось отдельно делать). Для пущей гарантии — удалить владельца.
4. Чтобы вернуть права, для начала взял и папке верхнего уровня установил рекурсивно allow «читать папку» и назначил владельца.
Alexeyslav
Тут мне кажется есть тонкость. Права есть разрешающие и запрещающие. Неправильно было бы удалять права, поскольку объект без назначенных прав наследует права от родительского объекта, а там скорей всего будет «разрешить всем всё». Тут надо установить именно права запрета.
Кстати команда CACLS является устаревшей, взамен ей использовать надо ICACLS она более универсальная.
ComodoHacker
Вместо того, чтобы руками ковыряться в реестре, службы и драйвера можно удалять командой
Не пробовали? Или самозащита срабатывает?nickolaym
Самозащита там будь здоров какая. Она не позволяет удалять службы даже с самыми-самыми админскими правами.
grumbler66rus Автор
Внимательно читайте текст.
Повторяю:
1. Драйверы уровня ядра блокируют доступ к файлам и веткам реестра байды.
2. Служба bd0004 не удаляется — выводится сообщение об ошибке “Служба не установлена”, поэтому редактором реестра или программой reg удаляем ветку реестра этой службы. Другими словами: в реестре приходится удалять то, что невозможно удалить системным вызовом (IMHO причина в кривости программы деинсталляции).
DikSoft
AdwCleaner удаляет эту «байду» на автопилоте. Рекомендую.